服务器安全配置（五）

1.涉及用户名与口令的程序封装在服务器端，尽量少的在ASP文件里出现，涉及到与数据库连接地用户名与口令应给予小的权限。
说明：用户名与口令，往往是们感兴趣的东西，如果被通过某种方式看到源代码，后果是严重的。因此要尽量减少它们在ASP文件中的出现次数。出现次数多得用户名与口令可以写在一个位置比较隐蔽的包含文件中。如果涉及到与数据库连接，理想状态下只给它以执行存储过程的权限，千万不要直接给予该用户以修改、插入、删除记录的权限。

2.需要经过验证的ASP页面，可跟踪上一个页面的文件名，只有从上一页面转进来的会话才能读取这个页面。
说明：现在的需要经过验证的ASP程序多是在页面头部加一个判断语句，但这还不够，有可能被绕过验证直接进入，因此有必要跟踪上一个页面。具体漏洞见所附漏洞文档。

3.防止ASP主页.inc文件泄露问题
当存在asp 的主页正在制作并没有进行后调试完成以前，可以被某些搜索引擎机动追加为搜索对象，如果这时候有人利用搜索引擎对这些网页进行查找，会得到有关文件的定 位，并能在浏览器中察看到数据库地点和结构的细节揭示完整的源代码。
解决方案：应该在网页发布前对其进行彻底的调试；安全专家需要固定asp 包含文件以便外部的用户不能看他们。 首先对 .inc 文件内容进行加密，其次也可以使用 .asp 文件代替 .inc 文件使用户无法从浏览器直接观看文件的源代码。.inc 文件的文件名不用使用系统默认的或者有特殊含义容易被用户猜测到的，尽量使用无规则的英文字母。

4.注意某些ASP编辑器会自动备份asp文件，会被下载的漏洞
在有些编辑asp程序的工具，当创建或者修改一个asp文件时，编辑器自动创建一个备份文件，比如：UltraEdit就会备份一个..bak文件，如你创建或者修改了some.asp，编辑器自动生成一个叫some.asp.bak文件，如果你没有删除这个 bak文件，攻击有可以直接下载some.asp.bak文件，这样some.asp的源程序就会给下载。
在处理类似留言板、BBS等输入框的ASP程序中，屏蔽掉HTML、javascript、VBScript语句，如无特殊要求，可以限定只允许输入字母与数字，屏蔽掉特殊字符。同时对输入字符的长度进行限制。而且不但在客户端进行输入合法性检查，同时要在服务器端程序中进行类似检查。
说明：输入框是利用的一个目标，他们可以通过输入脚本语言等对用户客户端造成损坏； 如果该输入框涉及到数据查询，他们会利用特殊查询输入得到更多的数据库数据，甚至是表的全部。因此必须对输入框进行过滤。但如果为了提率仅在客户端进行输入合法性检查，仍有可能被绕过，因此必须在服务器端再做一次检查。

5.防止ACCESS mdb 数据库有可能被下载的漏洞
在用ACCESS做后台数据库时，如果有人通过各种方法知道或者猜到了服务器的ACCESS数据库的路径和数据库名称，那么他能够下载这个ACCESS数据库文件，这是非常危险的。
解决方法：
1>为你的数据库文件名称起个复杂的非常规的名字，并把他放在几目录下。所谓 "非常规"， 打个比方： 比如有个数据库要保存的是有关书籍的信息， 可不要把他起个"book.mdb"的名字，起个怪怪的名称，比如d34ksfslf.mdb， 再把他放在如./kdslf/i44/studi/ 的几层目录下，这样要想通过猜的方式得到你的ACCESS数据库文件就难上加难了。
2>不要把数据库名写在程序中。有些人喜欢把DSN写在程序中，比如：
DBPath = Server.MapPath("cmddb.mdb")
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
假如万一给人拿到了源程序，你的ACCESS数据库的名字就一览无余。因此建议你在ODBC里设置数据源，再在程序中这样写：
conn.open "shujiyuan"
3>使用ACCESS来为数据库文件编码及加密。首先在选取 "工具->安全->加密/解密数据库，选取数据库（如：employer.mdb），然后接确定，接着会出现 "数据库加密后另存为"的窗口，存为：employer1.mdb。 接着employer.mdb就会被编码，然后存为employer1.mdb..
要注意的是，以上的动作并不是对数据库设置密码，而只是对数据库文件加以编码，目的是为了防止他人使用别的工具来查看数据库文件的内容。
接下来我们为数据库加密，首先以打开经过编码了的 employer1.mdb， 在打开时，选择"独占"方式。然后选取功能表的"工具->安全->设置数据库密码"， 接着 输入密码即可。这样即使他人得到了employer1.mdb文件，没有密码他是无法看到 employer1.mdb的。

6.SQL SERVER是NT平台上用的多的数据库系统，但是它的安全问题也必须引起重视。数据库中往往存在着有价值的信息，一旦数据被窃后果不堪设想。

及时更新补丁程序。
说明：与NT一样，SQL SERVER的许多漏洞会由补丁程序来弥补。建议在安装补丁程序之前先在测试机器上做测试，同时提前做好目标服务器的数据备份。

给SA一个复杂的口令。
说明：SA具有对SQL SERVER数据库操作的全部权限。遗憾的是，一部分网管对数据库并不熟悉，建立数据库的工作由编程人员完成，而这部分人员往往只注重编写SQL 语句本身，对SQL SERVER数据库的管理不熟悉，这样很有可能造成SA口令为空。这对数据库安全是一个严重威胁。目前具有这种隐患的站点不在少数。

严格控制数据库用户的权限，轻易不要给让用户对表有直接的查询、更改、插入、删除权限，可以通过给用户以访问视图的权限，以及只具有执行存储过程的权限。
说明：用户如果对表有直接的操作权限，就会存在数据被破坏的危险。

制订完整的数据库备份与恢复策略。

中光电信专业的IDC运营商，提供服务器托管，服务器租用，VPS，网站空间等服务器，机房：高新路十字电信大楼10层，24小时的在线和电话服务，欢迎亲们来实地考察。
qq:713003543   企业Q Q：1006@4000868810
电话：18291489163/400   02985269867转802
网址：www.***